CVE-2023-27532 : des attaques en cours sur les serveurs Veeam exposés sur Internet !
Les serveurs Veeam Backup & Replication exposés sur Internet sont pris pour cible par au moins un groupe de cybercriminels ! Grâce à cet accès, l'objectif est clair : exécuter un ransomware pour chiffrer des données.
Le 23 mars dernier, l'entreprise Horizon3 a mis en ligne un exploit pour la faille de sécurité CVE-2023-27532 qui affecte l'application Veeam Backup & Replication. Grâce à cette démonstration et ces détails techniques, les attaques sont plus accessibles, et donc, plus nombreuses d'autant plus que cette vulnérabilité permet à un attaquant non authentifié, et situé à distance, d'obtenir un accès au serveur de sauvegarde.
D'après Huntress Labs, en date du 23 mars 2023, il restait encore environ 7 500 serveurs Veeam Backup & Replication exposés sur Internet et vulnérables à cette faille de sécurité. Ce qui n'est pas anodin sur le total de 450 000 entreprises qui utilisent Veeam aujourd'hui.
D'ailleurs, depuis fin mars, il y a des attaques initiées par le groupe cybercriminel russophone FIN7, à destination des serveurs Veeam. D'après l'analyse menée par l'entreprise WithSecure, c'est bien la faille de sécurité CVE-2023-27532 qui est exploitée, notamment parce que le port 9401/TCP est ciblé. Une fois le serveur Veeam compromis, il se met à effectuer des actions suspectes comme l'exécution et le téléchargement de scripts PowerShell depuis Internet (icsnd16_64refl.ps1, icbt11801_64refl.ps1), avec les droits SYSTEM.
Ces scripts sont utilisés pour faire de la reconnaissance et si l'attaque va jusqu'au bout, elle peut se terminer par l'exécution d'un ransomware. Ce n'est pas étonnant puisque le groupe FIN7 est connu pour avoir établi des partenariats avec des groupes spécialistes du ransomware comme REvil, BlackBasta ou encore Conti.
Comment se protéger contre la vulnérabilité CVE-2023-27532 ?
La bonne nouvelle, c'est que la vulnérabilité CVE-2023-27532 bénéficie déjà d'un correctif depuis le 7 mars 2023. L'éditeur Veeam précise qu'il y a deux versions qui permettent de se protéger contre cette faille de sécurité :
- Veeam Backup & Replication 12 : build 12.0.0.1420 P20230223 (et versions supérieures)
- Veeam Backup & Replication 11a : build 11.0.1.1261 P20230227 (et versions supérieures)
Même si cet article fait référence à des attaques en provenance d'Internet, cette vulnérabilité pourrait être exploitée via le réseau interne de l'entreprise.
On a eu le FBI qui est venue toquer à notre bureau (outre Atlantique) pour nous prévenir ….
Rien sur le site de l’ANSSI à cette heure !!